Zátěžové testy (DoS)

Ustojí vaše aplikace nápor legitimních uživatelů? Odolá cílenému útoku snažícímu se o její znepřístupnění? Nabízíme škálovatelnou simulaci reálného provozu i simulaci DoS a DDoS útoku.

Přínosy

Při hodnocení zabezpečení aplikace bývá zvykem hodnotit i její dostupnost. Přetížením aplikace se typicky útočník nedostane k žádným citlivým datům. Pokud ale aplikace nedokáže obsloužit všechny klienty, může to mít závažné ekonomické následky.

Dává proto smysl dopředu otestovat, jak se bude aplikace při zvýšené zátěži chovat. Z vlastní zkušenosti víme, že i zdánlivě kvalitní (D)DoS ochrana může být nakonfigurována nevhodným způsobem.

Průběh

Testy typicky probíhají na produkčním prostředí během přesně stanovených časových slotů. Podle potřeby je často provádíme i mimo běžnou pracovní dobu.

Simulace DoS/DDoS útoku probíhá formou krátkých několikaminutových sond, které ověřují úspěšnost konkrétních technik. Celý test typicky zabere několik málo hodin.

Testování může probíhat i interaktivní formou, kdy je náš pracovník trvale ve spojení se zadavatelem a konzultuje s ním všechny spouštěné sondy. Zadavatel toho může využít například pro ladění obrany proti opakovaně spouštěnému konkrétnímu útoku.

Simulovaný DoS a DDoS

DoS (Denial of Service) je cílený útok, jehož cílem je znepřístupnit konkrétní službu. DDoS znamená Distributed DoS, tedy DoS útok vedený z velkého množství zdrojových adres.

Pro test máme k dispozici více než 1000 vlastních IPv4 adres, případně řádově desítky tisíc IPv6 adres. Z testovacích serverů máme konektivitu do internetu 4 Gbps. To umožňuje škálování simulovaného útoku dle vašich potřeb.

Typické scénáře útoku zahrnují:

• zahlcení linky pomocí packet floodingu: TCP SYN flood, UDP flood,

• navázaní velkého množství aplikačních (typicky HTTP/HTTPS) spojení,

• zahlcení aplikačního či databázového serveru vytipovanými požadavky, které vyžadují výpočetně náročné zpracování.

Simulace zátěže při běžném provozu

Zatímco při simulovaném (D)DoS útoku se snažíme najít slabé místo aplikace, které by mohl využít potenciální útočník, řada aplikací naráží na své výkonnostní limity i za běžného provozu. Cílem tohoto druhu testu je co nejvěrněji simulovat chování běžných uživatelů pomocí předem připravených scénářů a vyhodnotit, kolik jich dokáže aplikace obsloužit.

Pro simulaci běžného provozu využíváme nástroje Apache JMeter a k6. V případě zájmu vám můžeme připravené scénáře průchodu aplikací poskytnout.

Další typy testů

Test může být vhodné zkombinovat s penetračním testem webové aplikace nebo API. Ten může pomoct i s vytipováním vhodných cílů pro simulovaný (D)DoS útok.

Nabízíme také širokou škálu dalších služeb penetračního testování, viz Penetrační testování – přehled.

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.